FASE 3

PLANIFICACIÓN DETECCIÓN Y GESTIÓN DE ATAQUES

ARNOL ARTURO TENORIO

CARLOS GERARDO TELLEZ AYALA
SERGIO ANDRES RODRIGUEZ RODRIGUEZ
HENRY ALLYVER FONSECA
JONATHAN FERNEY VARGAS RODRIGUEZ

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
2023
 FASE 3
PLANIFICACIÓN DETECCIÓN Y GESTIÓN DE ATAQUES

ING. JOSE LUIS ALEJANDRO CARRILLO

TUTOR DEL CURSO
FUNDAMENTOS DE INTRUSION Y TESTING

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BOGOTA
 TABLA DE FIGURAS

Ilustración 1. Representación de la arquitectura actual de "control creatividad".

Fuente: Elaboración propia........................................................................................9
 CONTENIDO
Pag

INTRODUCCIÓN 4

JUSTIFICACIÓN 5

OBJETIVOS 6

1.1 OBJETIVO GENERAL 6

1.2 OBJETIVOS ESPECIFICOS 6

1.2.1 DESCRIBIR EL PROCESO INELUDIBLE QUE PERMITA ELABORAR UNA

METODOLOGÍA DE LAS CUALES SE DESCRIBIÓ EN LA FASE 1. 6

1.2.2 TENER COMO REFERENCIAS ARQUITECTURA DE SEGURIDAD PLANTEADA (FÍSICA Y

DIGITAL). 6

2 DESARROLLO DE LA ACTIVIDAD 7

2.1 ARQUITECTURA DE DEFENSA EN PROFUNDIDAD 7

CONCLUSIONES 8

BIBLIOGRAFÍA 9

4
 INTRODUCCIÓN

La ciberdefensa va de la mano con ciberseguridad las cuales para las entidades

tanto estatales como empresariales, las cuales han venido teniendo relevancia en
los años recientes, de la importancia de proteger la información como un activo
estratégico, junto con su infraestructura física, de ahí que se hace necesario
implementar medidas de protección en seguridad de TI, que se encuentre bien
estructuradas basadas en métodos ya probados que den confianza a las
entidades y a los usuarios, la información digital esta indudablemente protegida;
estando expuesta las entidades como el caso de estudio, Control Creatividad al
internet, se hace aún más vulnerable, si no se hace un uso apropiado de los
sistemas de información, teniendo en cuenta que el personal tanto de usuarios
como de trabajadores de la entidad, deben ser conscientes del riesgo al que se
expone la información si no se cuenta con un buen sistema de protección, el cual
debe mantenerse siempre bajo una buena arquitectura de defensa, si se va a la
vanguardia de los avances tecnológicos, con estos también bien nuevos ataques
razón por la cual es indispensable estar protegidos y actualizados.

Apoyarse en las nuevas herramientas y tecnologías que con el paso de los días
van mejorado las técnicas, métodos y planes de defensa, teniendo como premisa
proteger la información, tener certeza que los servicios esteran siempre
disponibles, con una gran integridad y confidencialidad con estrategias efectivas
de protección tanto de la infraestructura física y tecnológica, guiados bajo personal
experto.

5
 JUSTIFICACIÓN

Teniendo como premisa la entidad de Control Creatividad que tiene

vulnerabilidades en su seguridad, se requiere por parte del grupo de trabajo, un
enfoque para plantear una arquitectura de protección en profundidad la cual
también puede dirigirse a seguridad en capas, se debe tener a consideración que
los ataques a una infraestructura de información a sus red y sistemas de TI,
cresen constantemente muchas veces puede ser por que algún empleado quiere
tomar cierto tipo de represarías o porque un hacker esta lo bastante motivado
como apara arruinar alguna compañía, de la cual se entere que cuenta con vacíos
en su seguridad, puede ser un ataque por algún agente externo o alguien que
dentro de la entidad y quizás sin darse cuenta sirve como el medio para ser
atacados, por ingeniería social, sin ahondar en detalles de las motivaciones, la
información se encuentra en peligro de acuerdo a lo planteado.

6
 OBJETIVOS

1.1 OBJETIVO GENERAL

Plantear una única arquitectura de defensa de los activos informáticos en

profundidad o proponer una seguridad basada en capas para la entidad objeto de
estudio.

1.2 OBJETIVOS ESPECIFICOS

1.2.1 Describir el proceso ineludible que permita elaborar una metodología de las
cuales se describió en la Fase 1.

1.2.2 Tener como referencias arquitectura de seguridad planteada (física y

digital).

7
 1 CONTEXTUALIZACIÓN DEL PROBLEMA

“Control creatividad” es una empresa que ha visto afectados sus activos de

información debido a eventos recientes que la han llevado a replantear como
gestionar la seguridad analizando el estado actual de su infraestructura en
contraste con sus riesgos y monitoreando comportamientos por medio de la
generación de reportes y alertas de incidentes.

Entre las características relevantes de su infraestructura se destaca:

• Los recursos físicos de la infraestructura se encuentran de forma

física en la sede (servidores y demás equipos de cómputo)
• Se cuenta con una segmentación VLAN para su separación lógica
• Se maneja un CRM que se encuentra en la nube para la gestión de
la data de los clientes
• El software de contabilidad se maneja como software as a service y
no fue comprometido en los eventos de seguridad
• No existen acciones proactivas de seguridad
• No se cuenta con mecanismos para la identificación de intrusos

8
Ilustración 1. Representación de la arquitectura actual de "control creatividad".
Fuente: Elaboración propia

9
 1 DESARROLLO DE LA ACTIVIDAD

1.1 ARQUITECTURA DE DEFENSA EN PROFUNDIDAD

Los inicias de este término como en varias ocasiones ha sucedido desde el

invento de la misma computadora se basa en el ambiente militar. La frase tomo
fuerza cuando muchas naciones se fueron basando en el empleo de armas
nucleares, y dio pie a que se convierta en un método de defensa, la cual en la
actualidad permite hacer un análisis completo de la de los riesgos basado en
modelos que van por niveles, pasados varios años estados unidos retomo la
defensa en profundidad y la fue aplicando a la protección de las tecnologías de la
información.

Inicialmente, se conocía también que una estrategia militar en la que se

sacrificaba un personal de alguna de las líneas de defensa para detener a las
fuerzas contrarias, y esto se realizaba en varias etapas, fases, líneas o capas.

1. SUAREZ ACUÑA, Daniel Ernesto, et al. Diseño de una Arquitectura de

Red Basado en un Modelo de Defensa en Profundidad Utilizando
Estándares de las Normas ISO 27000 y COBIT 5.0. 2015.
https://repository.udistrital.edu.co/handle/11349/2726 .

Otro principio de defensa en profundidad basado como estrategia es que no se le

puede dar un solo enfoque a la seguridad, es decir no se debe defender con una
sola arma, debido que si se tiene en informática un solo elemento protegiendo la
red lo más probable es que no se pueda resistir un ataque, de ahí que algunos
expertos recomienda emplear dos o más sistemas de protección como
cortafuegos y si son de dos empresas diferentes ayuda a cubrir más ángulos.
Tener varias herramientas de defensa permitirá contener varios ataques, lo que va
a permitir que la compañía Control de creatividad, cuente con una mejor
protección, tener una sola línea de defensa ara que todo el sistema colapse o
sufra perdida total, a cambio de implementar varias medidas hace que si es un
fuerte ataque sufra solo una primera parte del sistema y no todo lo que es
conocido como seguridad en capas.

2. TALERO PATIARROYO, Jhon Alberto. Defensa en profundidad como pilar

para proteger una PIME. 2019.
http://repository.unipiloto.edu.co/handle/20.500.12277/4923

10
Arquitectura de defensa en profundidad o seguridad en capas para la
organización “Control Creatividad”, esta estrategia permite a la
organización disminuir las probabilidades de un ataque a los sistemas de
información y los datos, usando capas de protección a cada uno de los
activos de la organización.

SEGURIDAD MODELO DE CAPAS

Datos

Aplicaciones

Host

Redes

Perimetro

Seguridad Fisica

Politicas y Procedimientos

Aplicando cada una de las capas mostradas con anterioridad se

implementa una serie de pasos que permite proteger los datos y
conservará la seguridad a ataques externos, por lo tanto, el atacante
tendrá que pasar por cada una de las capas para llegar a su objetivo,
además se puede detectar el ataque antes de que se ejecute.

Para aplicar la arquitectura de defensa en profundidad, se debe conocer

la arquitectura completa de “Control Creatividad” que se aplica
actualmente y actualizarla con cada uno de los modelos de capa.

“Control Creatividad” tiene una estructura común o básica de la

siguiente forma:

 Antes del ataque del que fueron víctima, toda su infraestructura

era on premise, ubicada en una única sede y con tráfico
segmentado a nivel de VLAN.

11
  La información de los clientes se gestionaba de manera
centralizada en un servidor CRM expuesto a INTERNET.
 La contabilidad de la compañía se lleva bajo software adquirido
una modalidad SaaS, el cual no sufrió inconvenientes.
 No se cuenta con un sistema que permita identificar intrusos o
ataques en el perímetro por lo que toda gestión es reactiva

Cada una de las capas de defensa que se aplicaran a la estructura de

“Control Creatividad”, se describen a continuación:

1. Políticas y procedimientos: Son los procedimientos, normas,

deberes y obligaciones que se deben cumplir por parte de cada
uno de los usuarios que se encuentran en la organización
“Control Creatividad”, estas son implementadas por la
organización, tanto al recurso humano como a cada uno de los
activos.

Para “Control Creatividad”, se plantea las siguientes políticas de

seguridad y procedimientos.

“Control Creatividad” siendo una empresa que cuenta con información de

clientes, esta debe estar comprometida con salvaguardar la seguridad de cada
uno de los datos.

 Identificar todos los activos en cuanto software y hardware, ello permite

validar cada uno de los procesos realizados en estos, detectando
vulnerabilidades y riesgos que pongan en peligro la información de nuestros
clientes.

 Capacitar al recurso humano en ciberseguridad, esto permite que el

personal sea consiente en el buen uso de la tecnología y de cuáles serían
las consecuencias para “Control Creatividad” y de nuestros clientes
con el mal uso de la tecnología.

 Controlar el acceso a los sistemas de información y de comunicación por

parte de “Control Creatividad”, esto permite que se alineen procesos
de modificación, manipulación, confidencialidad, disponibilidad o
divulgación de información sensible para “Control Creatividad” y de
sus clientes.

 Mantener actualizados y en funcionamiento en equipos tecnológicos

programas como Cortafuegos, antivirus, actualizaciones de sistemas

12
 operativos, routers, switch, perfiles de usuarios, claves, estos permiten
control y seguridad ante cualquier ataque externo por parte de los hackers.

 El uso de dispositivos personales como teléfonos inteligentes,

computadores, tabletas y cualquier tipo de memorias o dispositivos de
almacenamiento estarán prohibidos para el uso y/o conexión de los equipos
tecnológicos y de información de “Control Creatividad”.

 El software usado por “Control Creatividad” para las funciones

administrativas, comerciales y de proveedores que dependen de la
actividad social de la empresa, no podrá ser copiado por parte del recurso
humano y de cada uno de los colaboradores de “Control Creatividad”
o de la rama administrativa cuales quiera que sea, para uso personal o
comercial.

 Asegurar la disponibilidad a cada uno de los clientes de “Control

Creatividad” el funcionamiento y accesibilidad a la página web
facilitando la comunicación y gestiones comerciales para los clientes.

 Disponer de una línea de atención 7*24 donde se dé solución a posibles

inconvenientes presentados por parte de clientes de “Control
Creatividad” o a dudas, quejas y reclamos de estos, por este medio se
dará una solución efectiva y de soporte a inquietudes y fallas, además
permite un control de las dificultades presentadas y su respectiva solución.

 Todos los colaboradores de “Control Creatividad” incluida la rama

administrativa, tendrán acceso a equipos de cómputo personales, creados
con perfiles autorizados por el área de TI, donde se monitorearán todas las
actividades realizadas en los equipos tecnológicos pertenecientes a la
actividad social de “Control Creatividad” por el departamento de TI,
estos equipos serán únicos de cada perfil y no de terceros o ajenos de
“Control Creatividad” sin previa autorización del departamento TI.

 El departamento TI será el único responsable de dar soporte técnico a

software y hardware a cada uno de los usuarios o colaboradores de
“Control Creatividad”, con el personal calificado para cumplir con esta
actividad.

 Realizar un seguimiento continuo a las actividades del servidor de dominio,

que permita evitar, prevenir y dar soluciones inmediatas si se presenta
alguna anomalía con los servicios informáticos.

 Se debe usar por parte de todo el personal sin excepción alguna, el uso
correcto del correo electrónico empresarial de “Control Creatividad”

13
 para la actividad social de la compañía y de todos los procesos
relacionados con esta.

 El Departamento de TI será el encargado de realizar copias de seguridad

del servidor “Control Creatividad” semanalmente en soportes de 4
cintas magnéticas que se van rotando. Las copias se almacenan en una
caja fuerte en las propias oficinas de la empresa. Dependiendo del
crecimiento de las operaciones, salvaguardando la información, la cual
debe estar disponible y accesible.

Para los procedimientos y políticas de seguridad se deben conocer:

 Procesos del negocio: Se identifican cada uno de los procesos que

permiten el cumplimiento de los objetivos de “Control Creatividad”, es
decir cada uno de los departamentos que usan los datos de
clientes y del recurso humano.
 Inventario de los activos: Se identifican cada uno de los activos de
“Control Creatividad”, Datos o información, Equipamiento auxiliar,
Hardware, Personal, Red, Servicio y Software.

Para la organización “Control Creatividad”, gestionar aquellos riesgos que

se puedan definir mediante controles que los sistemas requieran, se hace por
medio de la identificación de amenazas a los que están expuestos y cómo hacer
que los controles que se definirán sean los adecuados, para cumplir con todos los
requisitos legales que se puedan presentar, los contratos con proveedores y
usuarios internos, presupuestos, etc.

Se deben determinar los controles de aplicabilidad que permiten minimizar el

riesgo de la información y de cada uno de los activos, por lo tanto, se propone
para “Control Creatividad” las siguientes medidas de seguridad adicionales:

 Establecer y comunicar las políticas de seguridad

 Generar responsabilidades al recurso humano de “Control
Creatividad”
 Cumplir con todos los protocolos de seguridad, capacidad y conocimiento al
momento de contratar el recurso humano para “Control Creatividad”.
 Generar conciencia y capacitación al recurso humano
 Dar a conocer las pautas para el uso de dispositivos de almacenamiento
como USB, discos duros y cualquier dispositivo que sirva para almacenar
información.
 Normas y procedimientos para el uso y manipulación de la información.

14
Establecer auditorías internas y externas las cuales ayudaran a que se cumplan
las políticas de seguridad y cada uno de los procedimientos.
Para implementar las políticas y procedimientos usados en para la arquitectura de
“Control Creatividad”, se usó la implementación de las normas y
estándares ISO 27001.

3. Gómez, F. L., & Fernández, R. P. P. (2018). Cómo implantar un SGSI

según une-en ISO/IEC 27001 y su aplicación en el esquema nacional de
seguridad (pp 14).
https://elibro-et.bibliotecavirtual.unad.edu.co/es/ereader/unad/53624?
page=58

4. FORTALECIMIENTO DEL esquema de defensa en profundidad en la ANH

para incrementar el nivel de protección frente a las amenazas persistentes
avanzadas [Anónimo]. Universidad Piloto de Colombia [página web].
[Consultado el 18, enero, 2023]. Disponible en Internet:
<http://repository.unipiloto.edu.co/handle/20.500.12277/2755>

2. Seguridad física y del entorno: En esta parte de la capa se impide que un

atacante acceda a los activos y la infraestructura de la organización de
forma física, por lo tanto, en la organización “Control Creatividad”, se
implementara una serie de barreras y mecanismos de control de
acceso y seguridad contra amenazas físicas, para la protección del
hardware y software.

A continuación, se describirá la seguridad física para “Control

Creatividad”.

Las amenazas son consideradas una causa potencial de la perdida

de la información ocasionando daños irreparables para la
organización.

Están clasificadas del siguiente modo:

Amenazas externas y ambientales:

Acá se protegen los activos de “Control Creatividad” contra
desastres humanos y naturales.

• Desastres naturales:

Desastres naturales (NT)

Fuego
Terremoto

15
 Inundaciones
Tormentas eléctricas.

• Industriales

Desastres Industriales (IND)

Fuego
Daño por agua
Alteraciones de suministro eléctrico
Exceso de temperatura o humedad

• Fallas no intencionadas

Ocasionadas por el mal uso de los sistemas de información y

de las aplicaciones o programas de computadoras.

No intencionadas (FNI)
Mal uso de los usuarios
Mala configuración
Deficiencia de los programas
1Mal mantenimiento y actualización

• Fallas intencionadas

Son causadas por personas de forma intencionada para

obtener un beneficio personal.

Intencionadas (FI)
Suplantación de identidad
Virus informáticos
Hurto
Ingeniería social.

Controles físicos de entrada: El ingreso a las áreas donde se

encuentran los activos de la organización deben tener un acceso
restringido con control, el ingreso debe estar supervisado, con
registros de ingreso e historial de lo que realizo o se va realizar,
mantenimientos, actualizaciones, cambio de equipos etc., con
fecha, hora de ingreso, cargo y datos personales de la persona
que ingreso.
o Cámaras de seguridad.

16
 o Alarmas.
o Puertas de seguridad y vidrios de seguridad.
o Seguridad biométrica.
o Ingreso de personal que solo este autorizado.
o Guardas de seguridad.
o Pruebas de acceso físico.
Seguridad en oficinas: Se debe tener presente que la seguridad
de la información, también se encuentra vulnerables en el uso de
equipos informáticos o dispositivos que se encuentran conectados
en la red de la organización, por eso se hace necesario asignar
claves y disminuir recursos en los equipos de computo de los
usuarios o de dispositivos, los cuales minimizan el riesgo de un
ataque informático.

3. Defensa perimetral:

Este nivel es un punto neurálgico a nivel lógico ya que se

encuentra la red interna de “Control Creatividad” en la cual se
tiene el control y del otro extremo se tiene contacto del lado de la
red externa en la cual no se tiene ningún control ya que es
controlada por externos como el IPS y es vulnerable a los ataques.

La defensa perimetral busca resistir a los atsques externos,

identificándolos, alertarlos y mitigarlos, haciendo el filtrado y
respectivos bloqueos, por lo tanto seria una de las primeras líneas
de defensa a nivel lógico reduciendo los riesgos de cada una de las
amenazas.

Se pueden usar las siguientes soluciones para la organización

“Control Creatividad”:

o Firewall software y hardware.

o Segmentar la red en VPN.
o Sistema IDS.
o Sistema IPS.
o Network Access Control (NAC).
o Pruebas de ataques desde la parte externa (pentesting).

4. Defensa de red: Si el atacante logra ingresar a la red interna, se

puede obtener información del intruso por medio de una
herramienta de monitoreo. En esta capa se logra identificar los

17
 usuarios conectados, recursos consumidos en la red y de cada uno
de los dispositivos, evalúa la conexión de cada uno de los equipos
antes de ingresar a la red interna, valida los activos y recursos
disponibles para el uso de la organización.

o Segmentación e la red.
o Software antivirus.
o Escaneo de vulnerabilidades.
o Sistemas IDS/IPS
o Sistema DLP.
o Acls

5. Defensa de Host: En esta capa se implementa la seguridad de

cada uno de los activos de la organización “Control
Creatividad”, evitando el ingreso a estos de forma no autorizada.

o Actualizar e instalar parches para eliminar vulnerabilidades

en la red y sistemas operativos.
o Restringir el uso de recursos a los usuarios.
o Antivirus antimalware
o Logs de seguridad.
o Cortafuegos.
o Aplicar las políticas de seguridad.

6. Defensa de aplicaciones: las aplicaciones se preservan

mediante el control de acceso y el uso de componentes de
autenticación y aprobación. Una mala configuración sirve de
entrada a los atacantes u objetos no anhelados.

o Actualización del software.

o Cifrado de la información.
o Uso de sistemas de gestión de seguridad de la información
SGSI 27001.
o Cilco de vida del sotfware.

7. Defensa de datos: En esta etapa final de la capa, si el atacante a

conseguido llegar hasta acá y tiene ingreso a las aplicaciones, lo
mas importante de proteger son los datos, por lo tanto, estos
deben estar cifrados, de este modo se logra mantener la
confidencialidad, integridad y autenticidad de los datos, se
recomienda:

18
 o Copias de seguridad.
o Encriptación de los datos.
o Pruebas de intrusión.
o DLP (prevención de perdida de datos)
o Seguridad de datos en la nube.
o Auditorias.

CONCLUSIONES

Proponer una arquitectura adecuada que ofrezca la seguridad a los activos de

información, y considere las necesidades y recursos del negocio. Requiere de la
definición de políticas claras desde la alta gerencia y de planteamiento de un
proceso orgánico que comprendan la adaptación de la infraestructura existen
como un proceso evolutivo, en el que tareas como la separación de capas, la
implementación de tecnologías y las pruebas de penetración deben ser evaluadas
constantemente y ajustadas a mediada que los riesgos cambian para que la
infraestructura evoluciono a medida que cambian las necesidades de negocio y el
entorno tecnológico.

Por su parte las herramientas SIEM ofrecen una solución importante para la
detección y respuesta de incidentes de seguridad ayudando al equipo de TI y a los
profesionales de seguridad a detectar y responder rápidamente a amenazas
potenciales. Si bien se requiere una gran cantidad de recursos para implementar
y mantener un sistema SIEM, la información recopilada para obtener una visión
general de la seguridad de la red por lo que su implementación ofrece ventajas
para el crecimiento de “Control Creatividad” a largo plazo.

Las acciones aquí propuestas para robustecer la seguridad de información de

“Control Creatividad” deben ser incluidas en un proceso de evaluación de
prioridades por parte del departamento de TI. Para evitar que estas queden solo
como planteamientos teóricos es necesario la creación de responsables y de
cronogramas para implementación, así como de procesos de seguimiento para
establecer el estado de su implementación y la retroalimentación del impacto en la
infraestructura. Realizar el seguimiento de las tareas asociadas a su
implementación es entonces una responsabilidad clave para la obtención de un
plan de mejora que se ajuste a las necesidades de la organización.

19
20
 BIBLIOGRAFÍA

3. Gómez, F. L., & Fernández, R. P. P. (2018). Cómo implantar un SGSI

según une-en ISO/IEC 27001 y su aplicación en el esquema nacional de
seguridad (pp 14).
https://elibro-et.bibliotecavirtual.unad.edu.co/es/ereader/unad/53624?page=58

4. FORTALECIMIENTO DEL esquema de defensa en profundidad en la ANH

para incrementar el nivel de protección frente a las amenazas persistentes
avanzadas [Anónimo]. Universidad Piloto de Colombia [página web]. [Consultado
el 18, enero, 2023]. Disponible en Internet:
<http://repository.unipiloto.edu.co/handle/20.500.12277/2755>

21